Resultados da Enquete: NAT ou BRIDGE nos clientes?

Votantes
49. Você não pode votar nesta enquete
  • Bridge repassando para o cliente o ip do server

    21 42,86%
  • NAT com dhcp ativado no radio cliente

    28 57,14%
Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #21

    Padrão

    e cada radio fica com um ip diferente ? qual ip colocam nos radios? aquele ip que vem todos iguais para acesso vcs trocam ?

  2. #22

    Padrão Uso tudo em bridge;

    Ta tudo em bridge(as RBs e as NS5 dos clientes), ta desmarcado foward nos cartoes, nos access list, tem filtro na bnridge impedindo comunicação entre interfaces. O sistema ta rodando com pico de 400 clientes simultaneos. Não tenho nenhum pedido de liberar porta nem nada... internet 100%, nao bloqueia porta nem nada, p2p sempre recebe porta aberta, satisfação completa. Pensei que nao ia aguentar, mas está funcionando redondo por enquanto. Tem a WPA2-aes que é fechada com a nanostation5 antes de instalar na casa do cliente, limita-se banda na nanostation mesmo, entao até agora nenhum cliente fez estrago na rede. Por segurança o gw fornece mask 252, e o gateway é parrudo, aproveita o gatewy mesmo do CMTS)sistema de cable modem.... fiz apenas uma bridge transparente WIRELESS para esse gateway, funcionando redondo até agora, apenas tenho um RB433ah que da uns picos de 100% processamento;

    por segurança na manutenção cada tecnico vai até a residencia com notebook proprio caso precise entrar na nanostation

    cada ns5 tem um ip da rede local(ja no cadastro cada cliente tem o proprio ip da sua nanostation)... o ip real(internet recebe dhcp)fica na placa de rede do cliente.

    so recebe ip dhcp com o mac da placa de rede cadastrado no GW, batendo o numero do painel e torre e codigo do cliente(controle do recipiente)
    Última edição por nandofer; 09-10-2009 às 18:02.



  3. #23

    Padrão

    Citação Postado originalmente por nandofer Ver Post
    Ta tudo em bridge(as RBs e as NS5 dos clientes), ta desmarcado foward nos cartoes, nos access list, tem filtro na bnridge impedindo comunicação entre interfaces. O sistema ta rodando com pico de 400 clientes simultaneos. Não tenho nenhum pedido de liberar porta nem nada... internet 100%, nao bloqueia porta nem nada, p2p sempre recebe porta aberta, satisfação completa. Pensei que nao ia aguentar, mas está funcionando redondo por enquanto. Tem a WPA2-aes que é fechada com a nanostation5 antes de instalar na casa do cliente, limita-se banda na nanostation mesmo, entao até agora nenhum cliente fez estrago na rede. Por segurança o gw fornece mask 252, e o gateway é parrudo, aproveita o gatewy mesmo do CMTS)sistema de cable modem.... fiz apenas uma bridge transparente WIRELESS para esse gateway, funcionando redondo até agora, apenas tenho um RB433ah que da uns picos de 100% processamento;

    por segurança na manutenção cada tecnico vai até a residencia com notebook proprio caso precise entrar na nanostation

    cada ns5 tem um ip da rede local(ja no cadastro cada cliente tem o proprio ip da sua nanostation)... o ip real(internet recebe dhcp)fica na placa de rede do cliente.

    num entendi....o cliente navega na maskara 252 do servidor ou naveca com o ip do nano local?

  4. #24

    Padrão o cliente navega na maskara 252 do servido

    isso

    outra coisa que acontece é que a nanostation tem uma senha somente leitura, que é passada para a equipe de suporte nivel 1 e nivel2.

    As rb dos paineis, ptp e NS5 dos clientes sao tudo bridge transparente

    Tem um engano... a mask é 255.255.252.0 (só essa observação, e nao foi definida por questao de segurança nao... eu me confundi, so queria dizer que mesmo bridge ninguem ta comunicando com ninguem em rede local...

    um exemplo... se executar um ubnt discovery na casa de um cliente so acha a propria nanostation dele.
    Última edição por nandofer; 09-10-2009 às 18:23.



  5. #25

    Padrão

    Citação Postado originalmente por nandofer Ver Post
    isso

    outra coisa que acontece é que a nanostation tem uma senha somente leitura, que é passada para a equipe de suporte nivel 1 e nivel2.

    As rb dos paineis, ptp e NS5 dos clientes sao tudo bridge transparente

    Tem um engano... a mask é 255.255.252.0 (só essa observação, e nao foi definida por questao de segurança nao... eu me confundi, so queria dizer que mesmo bridge ninguem ta comunicando com ninguem em rede local...

    um exemplo... se executar um ubnt discovery na casa de um cliente so acha a propria nanostation dele.
    mas...
    vc ja parou para pensar...
    q o cliente pode simplesmente ver qual o ip que ele pegou...
    ai colocar esse ip manualmente, porem, com uma mascara mais aberta?
    ai onde fica sua seguranca?

    por isso eu sempre digo, use nat
    se o firmware tiver controle de banda, use tbm

    assim vc tera mais seguranca, e menos problema com seu GW

  6. #26

    Padrão acredito que mesmo assim ele nao comunica

    veja que o discovery gera um broadcast e nao precisa de ip, é como o search do winbox(discovery) e mesmo assim nao enxerga nada... tem filtro nas bridges e o foward do mk é como um isolation de um switch gerenciavel

    ninguem enxerga ninguem, mas pode dar conflito de ip, que localizado, é elimidada qualquer entrada arp do gw sendo este fica sem conectividade...

    ja clonei ip do gateway de outros clientes, a unica coisa é que fica sem funcionar e mas o que foi clonado navega normal



  7. #27

    Padrão vc acha?

    Citação Postado originalmente por mascaraapj Ver Post
    mas...
    vc ja parou para pensar...
    q o cliente pode simplesmente ver qual o ip que ele pegou...
    ai colocar esse ip manualmente, porem, com uma mascara mais aberta?
    ai onde fica sua seguranca?

    por isso eu sempre digo, use nat
    se o firmware tiver controle de banda, use tbm

    assim vc tera mais seguranca, e menos problema com seu GW

    se nem por discovery consegue enxergar, outro ativo de rede, ou outro proprio cliente que esteja no mesmo painel ou em interfaces diferentes, vc acha que pode acontecer oq?
    nem wireshark acho que nao vai pegar nada por causa dos bloqueios na camada 2, e por causa do foward desabiilitaddo... correto??? esse é o meu ponto de vista
    Última edição por nandofer; 09-10-2009 às 21:28.

  8. #28

    Padrão

    Citação Postado originalmente por luizrfabri Ver Post
    com toda certeza NAT, independente de deixar o server dhcp ativo ou não, pois se deixar em bridge, como disseram acima, um cabo fazendo loop, um conector mal feito ou uma placa de rede defeituosa do cliente vai ferrar a sua rede.

    Ah, deixo sempre o controle de banda ativo no radio, limitando um pouco acima da velocidade adquirida pelo cliente, assim, em caso de virus ou p2p, o trafego não chega até seu AP.

    Detalhe, aqui não impedimos que o cliente compartilhe a conexão, desde que dentro do ambito de sua residencia ou empresa, isto está previsto em nosso contrato, registrado em cartorio, no caso citado acima, do cabo passando de uma casa a outra, da rompimento de contrato e multa recisória.
    rmao, to pensando em colocar tb o controle de banda no rado do cliente, porem tenho uns 100 clientes com o BURST ativado, As duas coisas nao trabalham juntas neh, ou existe alguma saida pra issu ?

    obs: "nao vendo busrt", vendo conexao, o burst to usando como um plus pro cliente.



  9. #29

    Padrão

    Citação Postado originalmente por mdcsp Ver Post
    rmao, to pensando em colocar tb o controle de banda no rado do cliente, porem tenho uns 100 clientes com o BURST ativado, As duas coisas nao trabalham juntas neh, ou existe alguma saida pra issu ?

    obs: "nao vendo busrt", vendo conexao, o burst to usando como um plus pro cliente.
    deixe o controle de banda ativado no cliente ja configurado com o teto maximo que ele podera chegar...
    vamos supor:
    cliente contratou 300k
    porem, vc eh bonzinho e da um burst a mais para ele, podendo chegar a 340k

    levando em consideracao que o meio podera ter alguma perca...
    configure o radio com cliente em uns 360k

    assim, se ele tiver algum virus, ou algo do tipo... seu GW nao ira sofrer tanto por isso.

  10. #30
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.094
    Posts de Blog
    15

    Padrão

    Nat no radio. A melhor forma de evitar o "gato" é controlando as conexões simultâneas. Assim ele faz até o cabeamento, porem vai dar pau. E o cliente vizinho acaba te contratando.



  11. #31

    Padrão

    kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk
    to precisando de um cliente desse para ser meu funcionario

  12. #32

    Padrão Foto da minha bridge

    ja sao 830 instalados... esses ai sao os online simultaneos na wireless... ta bridge....
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         409online15102009.JPG
Visualizações:	143
Tamanho: 	183,1 KB
ID:      	5813  



  13. #33

    Padrão

    Citação Postado originalmente por nandofer Ver Post
    veja que o discovery gera um broadcast e nao precisa de ip, é como o search do winbox(discovery) e mesmo assim nao enxerga nada... tem filtro nas bridges e o foward do mk é como um isolation de um switch gerenciavel

    ninguem enxerga ninguem, mas pode dar conflito de ip, que localizado, é elimidada qualquer entrada arp do gw sendo este fica sem conectividade...

    ja clonei ip do gateway de outros clientes, a unica coisa é que fica sem funcionar e mas o que foi clonado navega normal
    Funciona maravilha do jeito q vc diz...mas um simples cliente p2p ferra a sua rede, virus então... para tudo, pois passa da rede do clinete batido e vai parar no te server, como a rb não suporta todo o trafego gerado.... travamento eminente, isso acontece mesmo q vc isole totalmente o cliente, pois vc não filtra nenhum trafego q sai do cliente para a sua rede.

  14. #34

    Padrão nao trava...

    Citação Postado originalmente por luizrfabri Ver Post
    Funciona maravilha do jeito q vc diz...mas um simples cliente p2p ferra a sua rede, virus então... para tudo, pois passa da rede do clinete batido e vai parar no te server, como a rb não suporta todo o trafego gerado.... travamento eminente, isso acontece mesmo q vc isole totalmente o cliente, pois vc não filtra nenhum trafego q sai do cliente para a sua rede.
    se num ta vendo 400online na foto e 6d de uptime... como vc pode afirmar que trava???... eu to passando pela pratica e a rb esta suportando. O provedor esta com 830 clientes(tudo bridge),,, se acha que se num tivesse funcionando sem panes eu iria estar tendo tempo ao menos pra postar isso aki... srrsrsrsrss afirmo que suporta todo o trafego. em bridge... filtro apenas de interfaces na bridge.
    Última edição por nandofer; 16-10-2009 às 23:24. Razão: pt



  15. #35

    Padrão

    Citação Postado originalmente por nandofer Ver Post
    se num ta vendo 400online na foto e 6d de uptime... como vc pode afirmar que trava???... eu to passando pela pratica e a rb esta suportando. O provedor esta com 830 clientes(tudo bridge),,, se acha que se num tivesse funcionando sem panes eu iria estar tendo tempo ao menos pra postar isso aki... srrsrsrsrss afirmo que suporta todo o trafego. em bridge... filtro apenas de interfaces na bridge.

    Eu não disse q não funciona, o servidor obviamente suporta muito mais que isso, mas um cliente, apenas um cliente com o radio em bridge e com o pc infectado, vai disparar milhoes de requisições no seu AP e o CARTÃO do AP não vai suportar o trafego exigido por esse unico cliente e vai deixar a seua rede muito lenta, apenas naquele ap, o seu server vai continuar lindo maravilhoso com seus 800 clientes conectados.

  16. #36
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.094
    Posts de Blog
    15

    Padrão

    Citação Postado originalmente por luizrfabri Ver Post
    Eu não disse q não funciona, o servidor obviamente suporta muito mais que isso, mas um cliente, apenas um cliente com o radio em bridge e com o pc infectado, vai disparar milhoes de requisições no seu AP e o CARTÃO do AP não vai suportar o trafego exigido por esse unico cliente e vai deixar a seua rede muito lenta, apenas naquele ap, o seu server vai continuar lindo maravilhoso com seus 800 clientes conectados.
    Para que isso não aconteça, se faz controle na bridge. No caso de vírus e sem controle não fará diferença de se é Nat ou não no ap. Pois vai passar nas 2 formas.



  17. #37
    Não Registrado
    Visitante

    Padrão so 5 nano ???

    so uma duvida ? em toda sua rede so tem nano 5 instalados em todos os clientes ???

  18. #38

    Padrão quase todos usam ares e até micro com conficker ja apareceu

    Citação Postado originalmente por luizrfabri Ver Post
    Eu não disse q não funciona, o servidor obviamente suporta muito mais que isso, mas um cliente, apenas um cliente com o radio em bridge e com o pc infectado, vai disparar milhoes de requisições no seu AP e o CARTÃO do AP não vai suportar o trafego exigido por esse unico cliente e vai deixar a seua rede muito lenta, apenas naquele ap, o seu server vai continuar lindo maravilhoso com seus 800 clientes conectados.
    até micro com conficker ja apareceu, sem problemaas para a rede, não tem como inundar o painel, limite de banda é na interface de cada radio cliente.

    só tenho a te dizer que tem isolação de cada cliente e filtro na bridge que impede apenas a comunicacao entre clientes na rede wireless. Quase todo mundo usa ares, emule pega high id, vpn livre, a net é transparente, qtas requisiçoes udp tcp que quiserem,,, mtos "..." falavam... nao aguenta nao tem processamento,,, mas nao estou tendo problemas, so o detalhe que a banda jáé limitada na nanostation do cliente entao, se é 300k ou 600k ou o que for nao tem como sair mais do que isso, nem se pegar virus ou o que for nenhum painel ficou lento, apenas probleas isolados como sinal ruim(antena mal instalada e conector com problemas) OK?

    AS RBs são bridge transparente e as nanostation tb... tudo vai diretamente no meu server(GW)
    Última edição por nandofer; 17-10-2009 às 17:07. Razão: tirei a expressao "mestres ..." as vezes eu nao me comunico com as palavras mais adequadas...é um defeito q vou corrigir



  19. #39

    Padrão

    Muito Boa Discução ...Parabéns o Forum E Nós Provedores só temos a Ganhar Bom FInal de Semana a Todos !!!

  20. #40

    Padrão

    Citação Postado originalmente por nandofer Ver Post
    até micro com conficker ja apareceu, sem problemaas para a rede, não tem como inundar o painel, limite de banda é na interface de cada radio cliente.

    só tenho a te dizer que tem isolação de cada cliente e filtro na bridge que impede apenas a comunicacao entre clientes na rede wireless. Quase todo mundo usa ares, emule pega high id, vpn livre, a net é transparente, qtas requisiçoes udp tcp que quiserem,,, mtos "que se julgam mestres no MK" falavam... nao aguenta nao tem processamento,,, mas nao estou tendo problemas, so o detalhe que a banda jáé limitada na nanostation do cliente entao, se é 300k ou 600k ou o que for nao tem como sair mais do que isso, nem se pegar virus ou o que for nenhum painel ficou lento, apenas probleas isolados como sinal ruim(antena mal instalada e conector com problemas) OK?

    AS RBs são bridge transparente e as nanostation tb... tudo vai diretamente no meu server(GW)
    Limitacao ja de cara na interface do radio do cliente nao eh bom... eh OTIMO
    mas eh sempre bom colocar uma senha da empresa, nao deixar o cliente ter controle... esses podem baguncar tudo fucando...
    eu faco isso aqui, limito a banda e conexoes simultaneas, ja de cara no cliente
    alem de colocar ip /32
    tbm ativo a opcao de gerenciamento pela wan... assim, qdo precisa, eu acesso da central o radio do cliente e modifico o q for necessario.
    Porem, sempre deixo nat ativado... como uma opcao a mais de seguranca.
    enlace fechado em wap2 - pki+aes

    PS: tbm faco o controle na central... por via das duvidas...
    Última edição por AndrioPJ; 17-10-2009 às 15:42.